校园网IPv6安全隐患及其的对策.docVIP

校园网IPv6安全隐患及其的对策 　　摘 要：IPv4因其存在的固有缺陷已不能满足网络服务和应用的普及与发展需求，由IPv4向IPv6过渡是互联网发展的必然趋势。IPv6协议特有的安全特点在提高网络安全性能的同时，也带来了新的安全问题。介绍IPv4向IPv6过渡阶段应用的双协议栈技术、隧道技术和网络地址转换/协议转换技术，结合校园网的实际运行情况，分析了双协议栈网络可能遇到的网络安全隐患，并给出了相应的对策。 　　关键词：校园网；IPv4；IPv6；双协议栈；安全隐患；对策 　　中图分类号：TP393.1 文献标识码：A 文章编号：2095-1302（2015）04-00-03 　　0 引 言 　　互联网的飞速发展使得各种网络服务和应用日益丰富，人类的日常生产和生活已经越来越依赖于网络这个交流平台。但现有的互联网则是基于IPv4技术使用32位地址段，最多能提供约43亿个IP地址。随着互联网的进一步发展，以IPv4技术为基础的现有互联网已不能满足需要，其原因是IPv4地址资源已经耗尽，在安全和服务质量以及对移动、智能网络的支持上都存在严重不足。新一代互联网协议IPv6的主要特点是：拥有128位地址空间，解决了IP地址不足的问题；是可汇聚、分级的地址结构，有效减少了各级路由表问题，提高服务质量，方便使用；通过移动头（Mobility Header）和返回路径可达过程（Return Routability Procedure）能够更好地支持移动性[1]。 　　互联网能否健康发展，安全是至关重要的因素之一。IPv6通过内置的IPSec安全协议和对网络层数据进行加密保证了数据的完整性和机密性，使得端对端数据传输具有较高的安全特性[2]。但仅仅这样并不能代表IPv6网络的安全可靠，随着该技术的广泛应用，其协议本身存在的安全问题、对入侵攻击的防护等都为进一步发展带来了安全隐患。本文结合长安大学具体情况，分析校园网IPv6网络在实际中遇到的安全问题，讨论其解决方法。 　　1 IPv6的安全优势 　　IPv6是网络技术史上的一次重要升级，它从最初设计时就对安全问题进行了关注，因此和IPv4相比，IPv6在IP层拥有更高的安全性。 　　1.1 IPSec（Internet Protocol Security）安全性机制 　　IPSec是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议网络层上进行保密而安全的通讯。IPSec的安全特性属于IPv6协议的外在安全特性，作为一种协议套件它可以“无缝”地为IP提供安全保障[3]。但实质上可以说IPSec对于IPv4更像一个补丁程序，而对IPv6它已经被看做是协议整体的一部分。 　　IPSec的结构体系包括3部分： 　　（1）AH（Authentication Header）身份验证协议，为数据包提供身份验证功能。 　　（2）ESP（Encapsulated Security Payload）安全载荷协议，为数据包提供加密保证防止篡改。 　　（3）IKE（Internet Key Exchange）密钥交换协议，为数据包交流安全提供保障。 　　这3个基本协议用来提供来源认证、数据完整性、数据机密性和访问控制等保护形式。除此之外，还有密钥管理协议ISAKMP（提供共享安全信息）、解释域、算法和策略[4]等。如图1所示，IPSec增强了数据传输的安全性。 　　1.2 IPv6特有的安全性 　　IPv6拥有128位的地址空间，理论上能提供2128-1个地址。与IPv4不同，IPv6的子网掩码是64位，每一个网段约有264个地址。对于如此巨大的地址空间来说扫描整个子网需要的时间极其漫长，这就对通过自动扫描来查杀繁殖的网络病毒造成了极大的困难。 　　在IPv4网络中，每一个IPv4地址或者子网都可以分布在全世界任何一个地方，这种情况使得假冒IPv4源地址成为一件很容易的事，黑客可以使用随机产生的地址来作为攻击数据包的源地址。与IPv4不同，IPv6是可汇聚、分级的地址结构，即IPv6上级互联网供应商可以对自己客户的地址段进行汇聚，在路由器或者网关设备中对网络流量进行过滤，只允许客户地址范围内的源地址通过。这样，黑客就不能使用任意IP来假冒源地址，而且能够使跟踪和回溯假冒地址变得很容易[5]。 　　2 IPv6的安全缺陷 　　与IPv4相比，IPv6在数据保密性、完整性和网络的可控性及抗攻击性等方面都有了较大改善，一些IPv4网络中常见的攻击在IPv6网络中已经失效，但使用证明其仍然存在不少安全问题。 　　2.1 来自非网络层的攻击 　　IPv4和IPv6都是工作在网络层上通过IP地址屏蔽底层不同的物理网络，并对传输层提供服务的协议。与IPv4相比